事件识别与监控
安全数据湖 提供集成化的事件检测与监控功能,旨在帮助您识别可疑行为并触发符合安全运维要求的警报。
本文档此部分将阐述事件、关联分析与警报如何协同构成 安全数据湖 中主动威胁检测与事件响应的基础。您将了解如何配置事件条件、将多个活动关联为更大的事件模式,并触发及时警报以保持安全运维的实时响应能力。
事件
事件 代表环境中标志异常行为的具体情境,可能包括防火墙策略变更、黑名单IP的登录尝试失败,或其他任何可能预示潜在威胁或重要运营变更的情况。
在 安全数据湖 中,您可以 定义精确参数 根据传入的日志数据定义构成事件的精确参数。一旦检测到事件(当日志消息匹配定义的条件时)—— 安全数据湖 会自动生成结构化事件对象,可用于告警、关联分析和进一步调查。
关联事件
虽然单个事件能提供重要信息,但许多安全事件往往通过相关活动模式显现。 安全数据湖 的 关联引擎 允许您定义跨时间多事件关联关系,帮助发现原本可能被忽略的复杂或协同行为。
关联规则可追踪事件序列或组合——例如多次登录失败后成功登录,或用户权限变更后立即从新位置访问系统。
告警
告警 根据事件条件触发,用于向团队通报潜在威胁、错误配置或性能问题。 安全数据湖 支持灵活的告警定义、 多种告警类型 (邮件、Webhook、SIEM集成)以及告警严重性标记。